El documento resume las diferentes etapas de una brecha de seguridad moderna, incluyendo: (1) el uso de cebos para engañar a los usuarios finales, (2) la explotación de vulnerabilidades, (3) la descarga de puertas traseras, (4) el establecimiento de canales traseros, y (5) la exploración y robo de datos. También describe las capacidades de WildFire de Palo Alto Networks para detectar malware desconocido a través de la observación en una sandbox virtual en la nube y generar automáticamente firm
19. La protección es necesaria en todas las fases
Canal
Cebo Exploit Backdoor Robo
Trasero
20. Protección para el cebo
• Bloquear aplicaciones innecesarias
• Controlar transferencias de ficheros por usuarios,
aplicaciones y tipo de fichero
• Bloquear acceso a URLs de Malware
21. Protección de exploits
• Descubrir las vulnerabilidades antes que los chicos
malos
• Firmas para el IPS de las nuevas vulnerabilidades
22. Protección de descargas
• Firmas Anti-Malware disponibles para toda la
comunidad dentro de la primera hora desde el
descubrimiento
• Control de descargas para HTTP/S
23. Protección de puertas traseras
• Bloquear tráfico de aplicaciones desconocidas
• Usar heurísticas para detectar comunicaciones por
puertas traseras
• C&C firmas disponibles para el nuevo malware
descubierto
24. Protección contra el robo
• Segmentación de la red
• Controles de acceso a los datos por usuario y
aplicación
25. Retos actuales
Los ficheros infectados Incapacidad de reconocer
están ocultos ficheros con malware
• Dentro de las aplicaciones • Malware focalizado
• A través de tráfico cifrado, proxies • Malware nuevo, desconocido
• Sobre puertos no estándar •Mucho tiempo hasta protección
• Drive-by-downloads
Puntos de control no fiables
• Las sandboxes no son el punto de
control, mientras que los puntos
(fws)carecen de la inteligencia de la
sandbox
• Falta de control para tráfico saliente
26. WildFire en acción
Comparación fich. conocidos
Entorno Sandbox
Generador de Firmas
Portal Web Administración
Ficheros Las firmas se
desconocidos El Firewall sirven a TODOS
desde Internet sube el los Firewalls a
fichero a la través de
nube updates
WildFire regulares. El
portal ofrece
análisis forense.
27. WildFire en acción
• Identifica el malware desconocido a través de la
observación directa, en una sandbox virtual en la nube
– Detecta más de 70 comportamientos maliciosos
– La captura y la protección la realiza el firewall
– El análisis realizado en la nube elimina la necesidad de adquirir
hardware nuevo y proporciona un punto central de visibilidad
• Automáticamente genera firmas para
el malware identificado
– Ficheros de infección y command-and-control
– Distribuye las firmas a todos los firewalls
a través de updates regulares
• Proporciona análisis forense sobre el comportamiento del
malware
– Acciones realizadas sobre la máquina objetivo
– Aplicaciones, usuarios y URLs relacionadas con el malware
28. WildFire en acción
Es necesario un Análisis
NGFW Centralizado
• Debe decodificar las • Inteligencia y protección
apps para buscar compartido con TODOS
ficheros ocultos los firewalls
• Debe controlar el SSL, • Sin necesidad de
y las tácticas evasivas reevaluar ficheros
• Aplicación en línea y • Actualizar fácilmente la
bloqueo del tráfico lógica de detección
C&C • Sin necesidad de utilizar
nuevo hardware
✓ ✓ ✓
✓ ✓
29. Estadísticas WildFire durante la fase Beta
• WildFire recibió 35.387 muestras y más del 7% fue
clasificado como malware (unas 2.500)
• De este malware, el 57% no tenía cobertura por
ningún fabricante de AV, ni había sido visto por Virus
Total en el momento del descubrimiento (unos 1.400)
• Hotfile y AIM-Mail tuvieron una actividad malware muy
alta, con un ratio de ficheros infectados de 10:1 frente
a los limpios
• El 15% del malware nuevo generó tráfico desconocido